ここで、出てくるのがAppleさん、勝手に修正したけど、Appleのライセンスが不明でマージできず・・・結局パッチを見ていない西尾さんがアサインされてパッチを書いたとか・・・微妙な感じだなぁ・・・

Apple、upstreamに報告してくれないまま脆弱性をCVEに届け出る

• upstreamに連絡が来ないまま脆弱性が公開される
• ruby-devにAppleが書いたパッチが貼られる
• パッチのライセンスが不明なので取り込めない
• ライセンスを問い合わせるAppleの窓口が不明なので問い合わせもできない
• ruby-devを読んだ人はライセンス上安全なパッチを書けない
• 脆弱性だから話は非公開に進めたい
• yuguiさんがruby-devを読んでない僕に書かせることにする
• yuguiさんから攻撃用コードをもらってパッチを書く
• パブリックドメインと宣言
• Rubyに取り込まれて1.9.2リリース

Rubyのコードはほとんど書いたことがなかったので頼まれたときはできるかどうか不安だったのですけど、攻撃コードを見てみたらそれ Unicode でのHACK #1で紹介されている2005年にGoogleの404ページで発生した脆弱性と同じなのが自明だったので、Tracer.onして攻撃して出力を眺めて問題点を修正するだけで簡単に直りました。

Ruby 1.9.2リリースとWEBrick脆弱性問題の顛末 - 西尾泰和のはてなダイアリー